EFAIL: Ευρωπαίοι ερευνητές αποκαλύπτουν κρίσιμη ευπάθεια στα κρυπτογραφημένα emails

EFAIL: Ευρωπαίοι ερευνητές αποκαλύπτουν κρίσιμη ευπάθεια στα κρυπτογραφημένα emails Facebook Twitter
0

Μια ομάδα ευρωπαίων ερευνητών στον τομέα της ασφάλειας εξέδωσε προειδοποίηση σχετικά με ένα σύνολο τρωτών σημείων που επηρεάζουν τους χρήστες PGP και S/MIME για την κρυπτογράφηση του ηλεκτρονικού ταχυδρομείου.

Εάν χρησιμοποιείτε τις μεθόδους PGP ή S/MIME για κρυπτογράφηση των email σας, θα πρέπει αμέσως να την απενεργοποιήσετε στον client του ηλεκτρονικού ταχυδρομείου. Ερευνητές αποκάλυψαν μια κρίσιμη ευπάθεια, την οποία αποκαλούν EFAIL, που εκθέτει τα κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου σε απλό κείμενο, ακόμη και εκείνα που έχουν σταλεί στο παρελθόν.

Η ευπάθεια ανακοινώθηκε αρχικά από το Electronic Frontier Foundation (EFF), το οποίο επιβεβαίωσε κενά ασφάλειας που αποκαλύπτουν τα περιεχόμενα όσων emails έχουν κρυπτογραφηθεί με PGP. Σε tweet που έστειλε πριν λίγες ώρες κάλεσε τους χρήστες να απεγκαταστήσουν το PGP μέχρι να διορθωθούν τα κενά ασφαλείας.

Λίγο αργότερα η Süddeutschen Zeitung έσπασε το εμπάργκο της είδησης, αποκαλύπτοντας λεπτομέρειες της ευπάθειας και τονίζοντας ότι «δεν υπάρχουν αξιόπιστες διορθώσεις για την ευπάθεια επί του παρόντος».

 

Ο Σεμπάστιαν Σίντζελ, καθηγητής ασφάλειας υπολογιστών στο Πανεπιστήμιο Εφαρμοσμένων Επιστημών του Münster, δήλωσε στη γερμανική εφημερίδα: «Οι επιθέσεις EFAIL εκμεταλλεύονται τα τρωτά σημεία στα πρότυπα OpenPGP και S/MIME για να αποκαλύψουν το απλό κείμενο κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Με απλά λόγια, η EFAIL καταχράται το ενεργό περιεχόμενο των HTML emails, για παράδειγμα εικόνες ή άλλα αρχεία που έχουν φορτωθεί εξωτερικά, για να «φιλτράρουν» και να απομακρύνουν το απλό κείμενο των μηνυμάτων, μέσω αυτών των εξωτερικών URL. Για να δημιουργηθούν αυτά τα κανάλια «φιλτραρίσματος», ο επιτιθέμενος πρέπει πρώτα να έχει πρόσβαση στα κρυπτογραφημένα μηνύματα, για παράδειγμα, παρακολουθώντας την κίνηση στο δίκτυο, λογαριασμούς ή διακομιστές ηλεκτρονικού ταχυδρομείου. Το πιο ανησυχητικό είναι ότι το EFAIL μπορεί να αποκαλύψει μηνύματα ηλεκτρονικού ταχυδρομείου τα οποία έχουν σταλεί πριν από χρόνια».

Το PGP (Pretty Good Privacy) είναι ένα πρωτόκολλο κρυπτογράφησης που θεωρείται το χρυσό πρότυπο για την ασφάλεια ηλεκτρονικού ταχυδρομείου και αναπτύχθηκε για πρώτη φορά το 1991. Το κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο, το οποίο συχνά πωλείται ως ένα είδος αόρατης ασπίδας από πάρα πολλούς εμπειρογνώμονες ασφάλειας, έγινε πιο μαζικό στη χρήση του μετά τις αποκαλύψεις του Έντουαρντ Σνόουντεν σχετικά με την ηλεκτρονική επιτήρηση από την αμερικανική κυβέρνηση τον Ιούνιο του 2013. Αλλά το κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο δεν είναι τέλειο, όπως δεν είναι και κανένα άλλο ηλεκτρονικό σύστημα ασφάλειας.

Από την πλευρά της, η κοινότητα υπέρ της «προστασίας προσωπικών δεδομένων» επιμένει ότι αυτή η ευπάθεια είναι υπερβολική και ότι οι άνθρωποι αντιδρούν υπερβολικά. Ο Βέρνερ Κόκ, της GNU Privacy Guard, δήλωσε ότι οι δύο τρόποι για να μετριάσουμε τις πιθανές επιθέσεις είναι απλά να μην χρησιμοποιήσουμε τα HTML ηλεκτρονικά ταχυδρομεία και να χρησιμοποιήσουμε επικυρωμένη κρυπτογράφηση, κάτι που σημειώνεται στο έγγραφο.

Ωστόσο, σε πρόσφατο tweet η GNU Privacy Guard τονίζει «Η έρευνα δείχνει ότι mail clients που δεν ελέγχουν σωστά για λάθη στην αποκρυπτογράφηση κρύβουν τον κίνδυνο να σερβίρουν κακόβουλους συνδέσμους σε μηνύματα HTML, έτσι η ευπάθεια είναι στους email clients και όχι στα πρωτόκολλα».

Μπορείτε να διαβάσετε περισσότερα για το τι λένε οι ερευνητές για την ευπάθεια του EFAIL στη διεύθυνση https://efail.de/.

Το EFF έχει οδηγούς για το πώς να απενεργοποιήσετε το PGP στο Apple Mail, στο Outlook και στο Thunderbird. Τι μπορείτε να χρησιμοποιήσετε ως εναλλακτική λύση; Το EFF λέει ότι δεν υπάρχουν αξιόπιστες εναλλακτικές λύσεις και συνιστά ως εναλλακτική λύση ασφαλείας το Signal για κρυπτογραφημένα end-to-end κείμενα ή τηλεφωνικές κλήσεις. Καλό θα ήταν, βέβαια, να γνωρίζετε ότι τίποτα δεν είναι απολύτως ασφαλές.

Τech & Science
0

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

ΔΕΙΤΕ ΑΚΟΜΑ

Το Parker Solar Probe της NASA πλησιάζει σήμερα όσο ποτέ άλλοτε τον Ήλιο

Τech & Science / Το Parker Solar Probe της NASA πλησιάζει σήμερα όσο ποτέ άλλοτε τον Ήλιο

Το Parker Solar Probe είναι το πρώτο διαστημόπλοιο που εισέρχεται στην εξωτερική ατμόσφαιρα του Ήλιου, γνωστή ως κορώνα, και θα επιστρέψει δεδομένα από περιοχές που μέχρι τώρα δεν έχουν εξερευνηθεί
LIFO NEWSROOM
Θα μπορούσε αυτή η δομή σε σχήμα αυγού να είναι το μελλοντικό μας σπίτι στο Διάστημα;

Τech & Science / Θα μπορούσε αυτή η δομή σε σχήμα αυγού να είναι το μελλοντικό μας σπίτι στο Διάστημα;

Η Ινδία ετοιμάζεται να στείλει τους πρώτους της αστροναύτες στο διάστημα μέσω της αποστολής Gaganyaan, η οποία θα τοποθετήσει τρεις αστροναύτες σε χαμηλή γήινη τροχιά για τρεις ημέρες
LIFO NEWSROOM
Είμαστε έτοιμοι για αυτό; Δημοσιογράφος αναγνωρίζει πρόσωπα στον δρόμο με γυαλιά τεχνητής νοημοσύνης

Τech & Science / Το μέλλον είναι εδώ: Δημοσιογράφος ταυτοποιεί αγνώστους στον δρόμο με γυαλιά τεχνητής νοημοσύνης

Είμαστε έτοιμοι για αυτό; Σκανάρει πρόσωπα αγνώστων και τους αναγνωρίζει σε ελάχιστα δευτερόλεπτα - Το βίντεο πυροδοτεί συζητήσεις για την προστασία της ιδιωτικότητας που σχετίζονται με τις τεχνολογίες αναγνώρισης προσώπου
LIFO NEWSROOM
Επτά επιστημονικές συμβουλές για την ψυχική και γνωστική μας υγεία

Τech & Science / Επτά επιστημονικές συμβουλές για την ψυχική και γνωστική μας υγεία

Από το JOMO, τον σωστό ύπνο έως τον συνεπή εμβολιασμό και από την κηπουρική ως την αλληλεγγύη και τον αλτρουισμό, υπάρχουν επτά απλοί τρόποι για να ενισχύσουμε την υγεία του εγκεφάλου μας και τη συναισθηματική μας ανθεκτικότητα
LIFO NEWSROOM